El lanzamiento del álbum oficial de stickers del mayor torneo de fútbol ya está siendo utilizado como anzuelo para estafas digitales en América Latina. Investigadores de Kaspersky identificaron al menos 20 dominios fraudulentos en la región, 13 de ellos dirigidos específicamente a países de habla hispana, que simulan sitios oficiales de venta del producto.
El patrón es claro: los atacantes replican con alto nivel de detalle el diseño, la identidad visual y el flujo de compra de tiendas legítimas. Estas páginas muestran ofertas con precios por debajo del mercado, promociones llamativas y múltiples opciones de compra, incluyendo álbumes de tapa dura, paquetes de stickers y combos. El objetivo es generar urgencia y aprovechar el interés masivo que rodea este tipo de coleccionables.
La experiencia del usuario dentro de estos sitios refuerza la apariencia de legitimidad. Se incluyen elementos típicos del comercio electrónico como botones de “agregar al carrito”, cálculo de envío, secciones de productos relacionados e incluso datos de contacto o supuestos centros de atención. Todo está diseñado para reducir la sospecha y acelerar la decisión de compra.
El punto crítico ocurre en el pago. En lugar de utilizar pasarelas tradicionales, las víctimas son dirigidas a realizar transferencias a cuentas de terceros, muchas veces a través de plataformas fintech. Una vez realizado el pago, el dinero se distribuye rápidamente entre múltiples cuentas, dificultando su rastreo y recuperación.
La distribución de estas estafas varía por país. En Colombia, se propagan principalmente a través de mensajes en WhatsApp y anuncios en redes sociales como Instagram. En Brasil, los atacantes utilizan transferencias vía PIX, el sistema de pagos instantáneos, enviando el dinero a cuentas intermediarias para complicar aún más el seguimiento.
Este tipo de fraude se apoya en factores psicológicos conocidos: urgencia, percepción de escasez y miedo a quedarse fuera. A esto se suma el componente emocional asociado a eventos deportivos de gran escala, que incrementa la disposición de los usuarios a actuar rápidamente sin verificar.
Desde el punto de vista técnico, no se trata de ataques sofisticados en infraestructura, sino de ingeniería social bien ejecutada combinada con clonación visual de sitios. El volumen y la rapidez con la que aparecen nuevos dominios sugieren que esta campaña seguirá evolucionando a medida que aumente la demanda del producto.
Las recomendaciones básicas se mantienen: acceder directamente a sitios oficiales evitando enlaces recibidos por mensajería o redes sociales, verificar cuidadosamente las URLs ante posibles variaciones mínimas, activar alertas bancarias para detectar movimientos sospechosos y utilizar soluciones de seguridad que puedan identificar sitios fraudulentos.
El caso refuerza una tendencia recurrente: cualquier evento de alto interés masivo se convierte rápidamente en superficie de ataque. En este contexto, el usuario sigue siendo el eslabón más vulnerable, especialmente cuando la urgencia y la emoción superan la verificación.
